面对DDoS越来越高的复杂性，该怎样减少DDoS防护的响应时间

随着互联网技术的发展，DDoS防护的难度也不断加大，现在许多商业组织难以及时有效地检测分布式拒绝服务（DDoS）攻击，大部分组织每分钟的停机成本可能超过500美元，这并不只是风险。DDoS越来越被用作更广泛的攻击活动的一部分，这些攻击活动包括以窃取重要信息资产为目标的勒索软件和下载型恶意软件。
有研究者对全球1000多位总监、经理、首席信息安全官、首席安全官、首席技术官进行了一项独立调查，超过一半（51%）的受访者表示他们的组织需要三个多小时才能检测和识别一次DDoS攻击。自2016年以来，这些数字变得越发严重。接近一半（48%）的受访者表示，检测到DDoS攻击后他们需要三个多小时进行DDoS防护响应，较2016年增加了8%。
DDoS攻击的规模和频率发生了巨大变化，更重要的是，攻击变得越来越复杂，持续时间也发生了变化，因此相应的DDoS防护也越来越困难。例如，根据NETSCOUT Arbor的第13次年度《全球基础设施安全报告》，2017年，DDoS攻击的平均持续时间为46分钟左右，较前一年的55分钟有所降低，但持续时间缩短并不等于风险降低，因为攻击产生的影响会延续更长时间。例如，一个前端网站遭到了DDoS攻击，依靠它进行通信的多个后端系统可能会用30多分钟进行同步并恢复正常。而且与恶意软件在组织内部一次潜伏好几个月不同，DDoS攻击在攻击前没有警告，对组织产生的是直接影响。
对于DDoS攻击越来越高的复杂性，从利用物联网（IoT）的多层僵尸网络的出现便可窥见一斑。连接到互联网的数百万不安全设备为大规模的动态僵尸网络创造了绝佳的“繁殖环境“，这让传统的防护策略难以招架。据估计，仅Mirai一种僵尸网络就危害了全球50多万台IoT设备。
僵尸网络不仅能发起大容量攻击，而且会形成更为复杂的混合攻击，包括：
• SYN洪水攻击
• UDP洪水攻击
• 阀蒸汽机（VSE）查询洪水攻击
• GRE洪水攻击
• CK洪水攻击（包括旨在破坏智能DDoS缓解系统的变体，或IDMSes）
• 伪随机DNS标签内容添加攻击（也称为DNS“水刑”攻击）
• HTTP GET攻击
• HTTP POST攻击
• HTTP HEAD攻击
这些攻击技术远远超过直白的容量耗尽攻击，Mirai及其衍生攻击可以同时对以下目标发起攻击：
• GRE隧道（在一些DDoS防护的缓解架构中用于清洗流量）
• 可能受到攻击的第三方向量（如DNS服务）
• 直接通过第7层（HTTP GET/POST）实施的应用
所以，DDoS防护在面对巨大变化的DDoS防护时也需要及时跟进升级，这样才能更有效的保护企业网站或服务器的安全运行。
本文转自：http://www.heikesz.com/ddos1/3980.html